摘要:
天渐冷 然学习之心火热
i春秋官网4.0全新升级
转发有礼 大雪天寒 暖心相送 阅读全文
摘要:
渗透技巧对于代码审计的意义在哪?我们知道代码审计的流程中有漏洞发现及payload构造,有的时候在漏洞发现阶段灰盒测试比源代码审计的速度更快效率更高,源代码审计,你得看代码吧,而灰盒测试时,测试语句以上,漏洞就发现了。payload的出现是为了证明漏洞的存在,而payload构造,单单作为一个开发程 阅读全文
摘要:
学习代码审计要熟悉三种技术,分四部分走一:编程语言 1:前端语言 html/javascript/dom元素使用 主要是为了挖掘xss漏洞 jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等2:后端语言 基础语法要知道例如 变量类型,常量,数组(python 是列表, 阅读全文
摘要:
0x01 前言 有段时间没有发文章了,主要没挖到比较有意思的漏洞点。然后看最近爆了很多关于S-CMS的漏洞,下载了源码简单挖了一下然后给大家分享一下。 0x02 目录 Wap_index.php sql注入Form.php Sql注入Input、query 0x03 插曲 这里分享一下在审计的时候自 阅读全文
摘要:
本文主要总结了xss可能出现的场景。偏向于案例,最后分享一哈简单的绕过和比较好用的标签。 1.搜索框 首先看能否闭合前面的标签。 如输入111”><svg/onload=alert(1)> 查看源码是否将前面标签闭合,可闭合的话可触发xss 如过无法闭合时,用事件来触发xss. 输入1111”><s 阅读全文
摘要:
基于docker搭建开源扫描器——伏羲 1、简介 项目地址 伏羲是一款开源的安全检测工具,适用于中小型企业对企业内部进行安全检测和资产统计。 功能一览: 基于插件的漏洞扫描功能(类似于巡风) 漏洞管理 多种协议的弱口令检测 企业的子域名收集 企业内部资产管理与服务探测 端口扫描 AWVS接口调用 2 阅读全文
摘要:
最近斗哥在逛某论坛的时候,看到有人提出一个问题:“如何快速获取第一手漏洞信息,可否介绍一些第一手漏洞信息的获取渠道?”so...雷厉风行的斗哥这就为大家带来了介绍。漏洞信息的获取渠道1.网站 https://seclists.org/fulldisclosure/任何黑客都会告诉你,在任何网站上都找 阅读全文
摘要:
最近斗哥在朋友的影响下,接触了自动化测试工具中的一个项目:appium自动化测试脚本。appium类库封装了标准Selenium客户端类库,为用户提供所有常见的JSON格式selenium命令以及额外的移动设备控制相关的命令,所以在讲appium类前先了解下Selenium自动化测试的使用。其实功能 阅读全文
摘要:
这段时间在想着做个高校的会员管理系统,所以在chrome上装了个掘金插件,今天发现日推推了个类似的PHP写的小程序本着能省就省,有自行车还造什么轮子的原则于是乎 git clone https://github.com/chaodada/member.git 经过简单的部署后算是能打开了后台 阅读全文
摘要:
5亿顾客信息泄露谁来给说法
解决信息安全隐患刻不容缓
i春秋与你共同探讨网络安全 阅读全文